пятница, 22 декабря 2017 г.

ИСО: Обсуждается проект руководства по разработке концепции кибербезопасности


В настоящее время в техническом подкомитете ИСО/МЭК JTC1/SC27 открыто голосование о включении в план работ технических спецификаций ISO/IEC NP TS 27101 «Информационные технологи – Меры и средства обеспечения безопасности –  Кибербезопасность - Руководство по разработке концепции» (Information technology -- Security techniques - Cybersecurity - Framework development guidelines). Голосование продлится до 26 февраля 2018 года.

Обоснование проекта звучит следующим образом:
«Поскольку угрозы кибербезопасности постоянно эволюционируют, мы наблюдаем появление всё большего числа выпускаемых различными государственными органами и организациями нормативных документов и политик, определяющих различные способы противодействия этим угрозам путем создания (порой в обязательном порядке) концепций или программ обеспечения кибербезопасности. Эти многочисленные концепции и программы направлены на решение одних и тех же проблем в одних и тех же областях применения, однако в них используются разные формулировки, терминология и структура.

Подход каждой организации к обеспечению кибербезопасности связан с условиями её деятельности. Угрозы, уязвимости, активы, ресурсы и структура уникальны для каждой организации.

Эти особенности приводят к конкуренции за ограниченные ресурсы. Когда отраслевые коммерческие организации работают в разных условиях или в различных географических регионах, им часто нужно продемонстрировать разнообразным заинтересованным сторонам своё соответствие многочисленным концепциям. Единый международный документ, представляющий собой руководство по разработке концепций обеспечения кибербезопасности, будет способствовать формированию согласованного набора понятий и принципов, которые затем могут быть использованы многочисленными организациями по всему миру. Руководство может быть использовано организациями для создания концепции кибербезопасности на основе тех требований, которые организация считает для себя важными, при этом обеспечивая возможность совместимости с другими концепциями.

Данное предложение выходит за рамки просто технического отчета об использовании стандартов ИСО и МЭК по кибербезопасности, ввиду того, что оно предусматривает определение понятий и принципов, используемых при формировании концепции кибербезопасности, и их применение для создания таких, специфических для каждой организации концепций, с учётом стоящих перед ними проблем. Если данное предложение будет принято, то разработанный документ будет способствовать улучшению интероперабельности концепций и программ кибербезопасности в глобальном масштабе и между различными отраслями, что в результате приведет к росту эффективности и продуктивности практик обеспечения кибербезопасности.»
В план-проспекте предлагается следующая структура документа:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор положения дел
6. Компоненты
6.1. Идентификация
6.2. Защита
6.3. Детектирование
6.4. Реагирование
6.5. Восстановление
7. Вопросы внедрения
Источники: сайт ETSI
https://docbox.etsi.org/Workshop/2017/201706_SECURITYWEEK/01_STANDARDSandLEGISLATION/S01_SETTING_THE_SCENE/ISO_IECJTC1_SC27_LINDSAY.pdf

Комментариев нет:

Отправить комментарий